Zpět na domů

Postgresus 2.0: aktualizace zálohy PostgreSQL

Postgresus 2.0 přidává šifrování AES-256, správu projektů s RBAC, optimalizovanou zstd kompresi a Helm pro Kubernetes. Nástroj posiluje bezpečnost záloh PostgreSQL pro týmy. Podpora nových úložišť a upozornění zjednodušuje DevOps procesy.

Nové funkce Postgresus 2.0 pro zálohy PostgreSQL
Advertisement 728x90

# Postgresus 2.0: klíčové aktualizace pro automatizovanou zálohu PostgreSQL

Postgresus 2.0 posiluje možnosti open source nástroje pro zálohování PostgreSQL. Za půl roku projekt nashromáždil 246 commitů, 2,7 tisíce hvězd na GitHubu a 40 tisíc stažení z Docker Hubu. Přidány kontroly stavu databází, nová úložiště a upozornění, správa projektů s rolemi, víceúrovňové šifrování, optimalizovaná komprese a Helm chart pro Kubernetes. Odmítnutí inkrementálních záloh zjednodušilo architekturu.

Nástroj se nasazuje v Dockeru, docker-compose nebo Helmu, podporuje self-hosted i managed PostgreSQL. Hlavní fokus — automatizace záloh podle plánu s upozorněními a ukládáním do různých úložišť.

Kontrola dostupnosti databází

Nová funkce monitoruje stav připojení k databázím. Postgresus pravidelně kontroluje dostupnost, zobrazuje metriky v rozhraní a odesílá upozornění při výpadcích. Kontrolu lze vypnout nebo nastavit interval.

Google AdInline article slot

Při nedostupnosti databáze se generuje alert přes vybraný kanál: Telegram, Slack, Discord, MS Teams, SMTP nebo webhook. To umožňuje rychle reagovat na poruchy bez dalších monitorovacích nástrojů.

Rozšířená úložiště a upozornění

Podpora úložišť se rozšířila: přidány CloudFlare R2, Google Drive, Azure Blob Storage a NAS kromě lokálního disku a S3. FTP, SFTP a NFS jsou v plánu.

Upozornění nyní integrují se Slackem, Discordem, MS Teams a vlastními webhooky. Webhook lze flexibilně nastavit pro libovolné platformy.

Google AdInline article slot
  • Úložiště: S3, R2, Google Drive, Azure Blob, NAS, lokálně.
  • Upozornění: Slack, Discord, Telegram, MS Teams, SMTP, webhook.

Správa projektů a RBAC

Zavedena hierarchie projektů pro segmentaci databází. Administrátor vytváří projekty a přiřazuje uživatele s rolemi:

  • Pouze pro čtení: prohlížení historie záloh, stahování souborů.
  • Editace: přidávání/odstraňování/úprava databází + práva pouze pro čtení.

Audit logy zaznamenávají všechny akce: odstraňování databází, stahování záloh, změny nastavení. To je klíčové pro týmy DBA, DevOps a outsourcové vývojáře pracující s daty více klientů.

Projekty umožňují izolovat:

Google AdInline article slot
  • Databáze klienta A.
  • Vnitřní databáze společnosti B.
  • Testovací prostředí týmu C.

Víceúrovňové šifrování a bezpečnost

Bezpečnost byla přepracována pro enterprise scénáře. Ochrana na třech úrovních:

Šifrování tajemství

Hesla k databázím, tokeny úložišť a upozornění jsou šifrována AES-256-GCM. Klíč je uložen v samostatném souboru mimo databázi Postgresus. Dešifrování na požádání při použití.

Šifrování záloh

Soubory pg_dump jsou šifrovány proudově se solí a IV (AES-256-GCM). Zapnuto defaultně, volitelně vypnuto. Chrání před úniky i ve veřejných S3.

Uživatelé pouze pro čtení

Při přidávání databáze s právy zápisu Postgresus nabízí vytvořit roli pouze pro čtení. Automatizuje best practice a minimalizuje rizika poškození dat při kompromitaci.

Optimalizace komprese a výkonu

Defaultně zstd úroveň 5 pro PostgreSQL 16+ (gzip pro PG 12+). Benchmarky 21 scénářů ukázaly optimální rovnováhu rychlosti a velikosti: komprese ~8x, úspora místa 2x při stejné rychlosti oproti gzip 5.

Odmítnutí inkrementálních záloh a PITR zjednodušilo logiku a soustředilo se na plné dumpy.

Nasazení v Kubernetes a vylepšení UI

Přidán Helm chart pro nativní instalaci v k8s. Tři contributori se podíleli na realizaci.

Rozhraní získalo tmavou téma (na požádání komunity). UX vylepšen pro middle/senior: dashboardy s metrikami, nastavení na jeden klik.

Co není realizováno

  • Plnohodnotné monitorování zdrojů DB (CPU, I/O).
  • Vestavěná SQL konzole.

Tyto funkce jsou odloženy, fokus na core: zálohy + bezpečnost.

Co je důležité

  • Víceúrovňové šifrování: AES-256-GCM pro tajemství a zálohy + role pouze pro čtení.
  • Týmová práce: projekty, RBAC, audit logy.
  • Optimalizace: zstd defaultně, komprese 8x.
  • Integrace: nová úložiště (R2, Azure, Drive), upozornění (Slack, Teams).
  • Monitorování: kontroly stavu databází s alerty.

— Editorial Team

Advertisement 728x90

Číst dál